Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Mejores Prácticas
Corporativas
consejo coordinador empresarial
Anexo
Control Interno
CÓDIGO DE MEJORES PRÁCTICAS CORPORATIVAS
ANEXO
CONTROL INTERNO
MÉXICO, 2014
consejo coordinador empresarial
CONCANACO
SERVYTUR
MEXICO
AMIB
MEXICO
CO MC E
Derechos reservados por el CONSEJO COORDINADOR EMPRESARIAL, A.C. 2006
Número de Reserva en Derechos de Autor: 03-2006-092213131700-01
2ª Edición actualizada
Abril, 2014
ÍNDICE
Capítulo I. Introducción 8
Capítulo V. Conclusión 21
Anexo del Código de Mejores Prácticas Corporativas 7
ANEXO
CONTROL INTERNO
CAPÍTULO I INTRODUCCIÓN
El presente anexo aborda las prácticas del Capítulo V del Código de Mejores Prácticas
Corporativas (CMPC) las cuales se resaltan en recuadros y describen al control interno
como el mecanismo por el cual el Consejo de Administración se asegura que la sociedad
opera en un ambiente general de control y le da mayor certeza de la efectividad y eficiencia
de la gestión.
Es por ello que el control interno tiene una influencia significativa en el éxito o fracaso de la
implementación de las prácticas de Gobierno Corporativo.
Por lo anterior, una de las funciones que debe tener el Consejo de Administración, es el
promover el establecimiento de mecanismos de control interno y de aseguramiento de la
calidad de la información1. Esta labor recae específicamente sobre el órgano intermedio que
lo apoye con la función de auditoría2 e implica no solo participar en el diseño e
implementación del sistema de control interno de la sociedad sino también en una constante
supervisión.
A nivel mundial existe una gran variedad de conceptos y definiciones sobre el tema, por lo
que se han creado diferentes organismos para establecer un marco básico de control
interno, unificando así criterios sobre los requisitos que debe contener un buen sistema y
facilitando la identificación de criterios para la autoevaluación.
1
Práctica 7, inciso VIII del Capítulo IV del CMPC.
2
Capítulo V del CMPC.
Práctica 7
Se recomienda que, además de las obligaciones y facultades que prevén las leyes
específicas para cada Sociedad, dentro de las funciones del Consejo de Administración
se incluya la siguiente:
VIII. Asegurar el establecimiento de mecanismos de control interno y de calidad de la
información.
Práctica 23
Se sugiere que, el órgano encargado de las funciones de auditoría, cumpla con:
VI. La definición de los lineamientos generales del control interno.
Práctica 35
Se sugiere que los auditores internos y externos evalúen, conforme a su programa
normal de trabajo, la efectividad del control interno así como la calidad y transparencia
del proceso de emisión de la información financiera, y que se comenten con ellos los
resultados señalados en la carta de observaciones.
Práctica 34
Se sugiere que se apoye al Consejo de Administración para asegurar la efectividad del
control interno, así como del proceso de emisión de la información financiera.
Práctica 33
Se sugiere que se sometan a la aprobación del Consejo de Administración los
lineamientos generales de control interno y, en su caso, las revisiones al mismo.
1. Ambiente de control
2. Actividades de control
Las actividades de control son las políticas y procedimientos que ayudan a asegurar que las
directrices de la administración están siendo llevadas a cabo con acciones necesarias para
mitigar los riesgos. Las actividades de control están en todos los niveles y funciones de la
sociedad, incluyen principalmente: autorizaciones, verificaciones, conciliaciones, revisiones
del desempeño, seguridad de los activos y segregación de funciones.
Asignación de riesgos
De operación.
De reportes financieros.
De cumplimiento.
a) Factores externos:
Avances tecnológicos.
b) Factores internos:
En la mayoría de los casos para cualquier objetivo establecido o implícito existen riesgos
que pueden ser identificados, sin embargo, las causas potenciales que pueden evitar el
logro de los objetivos en ocasiones son evidentes y en otras no tanto, o su efecto potencial
puede ser significativo o no.
Con el objeto de evitar pasar por alto riesgos relevantes es recomendable que la
identificación se realice en forma separada de la evaluación de la probabilidad de que el
riesgo ocurra. Pueden existir limitaciones prácticas en el proceso de identificación y a veces
es difícil establecer la línea entre lo que se debe considerar un riesgo o no. Por ejemplo, la
probabilidad de que exista un terremoto está latente para todas las entidades; sin embargo,
existen zonas más propensas a que esto ocurra y por lo tanto la evaluación del riesgo es
diferente en éstas últimas
Una vez que se han identificado los riesgos se debe realizar una evaluación de los mismos.
La metodología para hacer esto puede variar debido a que muchos de los riesgos son
difíciles de cuantificar. El proceso de análisis de los riesgos normalmente debe incluir:
Administrando el cambio
El proceso para identificar y analizar los riesgos que pueden afectar el logro de los objetivos
a menudo consiste en la revisión de la información que realiza la dirección. El Director
General (o equivalente) podrá conocer los riesgos que se derivan de factores externos a
través del contacto directo con clientes, proveedores, bancos, abogados, auditores y otros
externos, asimismo podrá también tener acceso a la identificación de riesgos internos a
través del contacto directo con los diferentes niveles del personal de la organización.
El mecanismo para la administración diaria de los riesgos normales, así como de los riesgos
resultantes de circunstancias no tan comunes derivadas de cambios sustanciales en las
condiciones normales, puede ser altamente informal pero aún así efectivo. La misma
4. Información y comunicación
Debido a la confianza que se deposita en los sistemas de información, los cuales utilizan
elementos computarizados y/o manuales, es necesario que se establezcan controles
internos en los mismos, los cuales se pueden dividir en dos grupos: controles generales y
controles de aplicación que, en conjunto, ayudan a asegurar la integridad, exactitud y
validez del sistema de información financiera o de otro tipo de información.
Los controles generales aplican prácticamente a todos los sistemas y ayudan a asegurar
una operación apropiada y continua.
Para poder manejar las operaciones eficientemente y lograr los objetivos de la sociedad, se
necesita que exista información en todos los niveles de la organización. Los sistemas de
información pueden ser formales e informales; y son parte integral de las actividades de
operación, no solo en lo relativo a la toma de decisiones, sino también para el monitoreo de
las iniciativas estratégicas.
Comunicación
La forma en que se comunican los mensajes es muy importante. Muchos fraudes financieros
se han realizado por desconocimiento de la forma que se espera que el empleado actúe, es
decir, cuáles comportamientos son aceptables y cuáles no. Por ejemplo, un gerente que
instruye a sus subalternos de la siguiente manera “Debemos realizar esa venta, no me
importa cómo lo hagamos” puede estar mandando un mensaje equivocado.
Interna
Externa
5. Actividades de monitoreo
La vigilancia es un proceso que asegura la eficiencia del control interno a través del tiempo
e incluye la evaluación del diseño y operación de las actividades de control en forma
oportuna, así como la aplicación de medidas correctivas.
El auditor interno debe evaluar la eficacia de las actividades de control e identificar las áreas
donde el monitoreo podría ser utilizado. Además, la administración y la auditoría interna
deben considerar si hay situaciones que se pueden aplicar a los objetivos de cumplimiento y
presentación de informes.
3
Para mayor información véase el anexo “Auditoría Interna”
Anexo del Código de Mejores Prácticas Corporativas 17
El auditor debe evaluar si existen deficiencias e informarlo para la adopción de medidas
correctivas y su implementación a tiempo por los responsables. Las deficiencias pueden
estar en el nivel de componente individual o en el proceso de control interno en su conjunto.
Cada día las organizaciones se apoyan en sistemas tecnológicos, por lo que resulta
importante contar con un marco de mejores prácticas de control interno orientado a las
tecnologías de información.
El marco de control COBIT tiene como misión: "investigar, desarrollar, publicar y promover
un conjunto de objetivos de control generalmente aceptados para guiar el adecuado uso y
desempeño de las tecnologías de la información; que estos sean evaluados y aprobados por
expertos en la materia”.
Para gobernar efectivamente TI, es importante determinar las actividades y los riesgos que
requieren ser administrados. Normalmente se ordenan dentro de dominios de
responsabilidad para planear, construir, ejecutar y monitorear, sin embargo el marco de
control COBIT define las actividades de TI en un modelo de 34 procesos genéricos
agrupados en 4 dominios:
a) Planear y Organizar:
Las estrategias y tácticas para identificar la manera en que TI puede contribuir al logro de
los objetivos del negocio, proporcionan dirección para la entrega de soluciones y la
entrega de servicio.
b) Adquirir e Implementar:
El control interno ayuda a una sociedad a llegar adonde quiere ir y a evitar los peligros y
sorpresas que pueden ocurrir a lo largo del camino.
Contar con un marco de control interno como puede ser el COSO I actualizado, tiene los
siguientes beneficios:
Por su parte, contar con un marco de referencia como COBIT beneficia a los gestores,
auditores y usuarios porque les ayuda a entender sus sistemas de información y decidir el
nivel de seguridad y control que es necesario para proteger los activos de sus
organizaciones mediante el desarrollo de un modelo de gestión y control administrativo para
las tecnologías de la información, brindando los siguientes beneficios:
Presidente:
Roberto Danel Díaz
Control de Gestión de Negocios S.C.
SUBCOMITÉ ACADÉMICO
Presidente: Secretariado:
Ex Presidentes Participantes:
CIUDAD
con apoyo de
consejo coordinador empresarial
consejo coordinador empresarial
www.cce.org.mx / cmpc@cce.org.mx